実装方法ECMP(ロード バランシング) Firewall
Symptom
等コスト マルチパス (ECMP ) は で導入された新機能です。PAN-OS 7.0。 同じ宛先に向かう「等コスト」ルートのマルチパス サポートを提供します。 最大 4 つの等コスト パスがサポートされています
この機能がない場合、同じ宛先への等コスト ルートが複数ある場合、仮想ルーターはルーティング テーブルからそれらのルートの 1 つを選択し、転送テーブルに追加します。選択したルートで障害が発生しない限り、他のルートは使用されません。
ECMPロード バランシングは、パケット レベルではなく、セッション レベルで行われます。新しいセッションの開始は、firewall (ECMP ) 等コスト パスを選択する
この記事では、達成するための基本的な構成に焦点を当てていますECMP上で firewall
Environment
- PAN-OS 7.0
- ECMP (等コストマルチパス)
Resolution
トポロジー
インターフェイス構成:
注: ethernet1/1 と ethernet1/11 はISP異なるゾーンで構成されたインターフェイス L3-Untrust およびVPNそれぞれ。 ただし、これらのインターフェイスは同じゾーンでも構成できます
両方のデフォルト ルートが「等しいコスト」を持つルート設定:
NAT policyインターネット経由でトラフィックをルーティングできるようにするには:
注: 両方の場合ISPインターフェイスが同じゾーンにある場合、宛先インターフェイスをゾーンに追加する必要がありますNAT policy次のスクリーンショットのように:
安全policyトラフィックを許可する構成: (インターフェイスが同じゾーンまたは異なるゾーンにある場合の両方のシナリオをカバーします)
有効にするECMP上でfirewall:
ノート:
- Max Path 2 は、2 つの等コスト パスのみがインストールされることを意味します。FIBテーブル。 インストールする必要がある等コスト パスが 2 つ以上ある場合FIBテーブル、最大パス値を変更します。 サポートされている最大値は 4 です。
- 負荷分散方式は、要件に応じて選択できます。 負荷分散アルゴリズムの詳細については、クリックしてください。ここ
- 要求パケットが入ってきたのと同じインターフェイスから応答パケットを送信する必要がある場合は、Symmetric Return を有効にします。
Additional Information
確認ECMP取り組んでいます:
監視 > トラフィック ログ (別のゾーン)
監視 > トラフィック ログ (同じゾーンで)
のためにインストールされたルートECMPがあります "E " フラグ:
ノート:詳細については、ECMP 、 クリックしてくださいここ